Троянцы-блокеры, которые по классификации "Лаборатории Касперского" относятся к классу Trojan-Ransom, можно разделить на две категории: интернет-блокеры и исполняемые файлы с функнционалом блокеров. Интернет-блокеры- это программы, которые  открывают окно в браузере с сообщением о том, что компьютер заблокирован. К счастью пользователей, справиться с ними довольно легко — как правило, для этого достаточно просто закрыть окно браузера. Чаще, такие программы размещаются на порно-сайтах. А вот блокеры, которые представляют собой исполняемые файлы, побороть труднее. «Лаборатория Касперского» создала специальный сервис — «Деблокер» — позволяющий генерировать коды, подходящие к блокерам, на основе введённого короткого номера и текста короткого сообщения. Согласно статистике KSN, на долю таких программ  в общей сложности приходится 82% всех блокеров, по этому далее речь пойдет именно о них.

Итак, где можно подцепить эту заразу? Как мы уже сказали ранее, в большинстве случаев, заразу подцепить можно на порносайтах или сайтах, предлагающих пиратское программное обеспечение, а попросту говоря, халяву. Например, в течение недели с 18 по 24 апреля, по данным KSN, 25,8% блокеров попали на компьютер пользователя с порносайтов и 26% — с сайтов с пиратским ПО. Оставшиеся 48% сайтов, распространявших блокеры, на момент исследования были уже закрыты злоумышленниками, однако название закрытых ресурсов дают достаточно веские основания, чтобы и их отнести к этим двум категориям. Попадают пользователи на такие веб-ресурсы, в основном, кликнув на баннер или ссылку на каком-нибудь сомнительном сайте. Далее все происходит стандартным для сайтов с халявой и порноресурсов образом: посетители сами скачивают и запускают программу. Разница лишь в том, что в результате вместо порноролика пользователь видит сообщение о блокировании системы. Никаких drive-by атак, где загрузка и запуск происходят автоматически! В подавляющем большинстве случаев загрузка и запуск блокера — личная заслуга пострадавшего.

Это подтверждает и статистика KSN по приложениям, обратившимся к блокерам.

По тому, какой процесс обращался к блокеру, зачастую можно понять, был ли блокер загружен и запущен с помощью эксплойта. Например, процессы JAVA.exe и JAVAW.exe представляют собой виртуальную машину Java. С большой вероятностью можно сказать, что загрузка и запуск блокера произошли в результате эксплуатации уязвимости Java-эксплойтом. Аналогичная ситуация с PDF-файлами, которые открываются Adobe Reader, выполненного в виде процесса ACRORD32.exe. На виртуальную машину Java, как и на Adode Reader, в сумме приходится меньше процента. Так что что drive-by атаки для распространения блокеров применяются нечасто.

Теперь поговорим о том, кто чаще всего становится жертвой вымогателей? На портале DeBlocker есть кнопка «нравится». Мы получили статистические данные о пользователях Facebook, нажавших на эту кнопку. Конечно, не только пользователи этой социальной сети являются жертвами вымогателей. И мы не можем утверждать, что компьютеры всех пользователей, нажавших на кнопку, были в действительности заражены. Однако, используя эти данные, мы можем хотя бы в некотором приближении оценить возраст и пол пострадавших.

3/4 пользователей, нажавших на кнопку «нравится», — представители сильной половины человечества. Возраст большинства (обоих полов) составляет от 18 до 34 лет.

Далее -когда чаще всего заражаются компьютеры? Чтобы ответить на этот вопрос, посмотрим на динамику числа уникальных пользователей, у которых на компьютере был обнаружен блокер за неделю с 18 по 24 апреля.

Сравним этот график с динамикой числа запросов к сервису "DeBlocker” в течение той же недели:

Количество запросов к сервису "DeBlocker” в течение недели

Отметим, что две эти диаграммы построены на разных выборках. На первой диаграмме отражено количество пользователей, на компьютерах которых троянец был заблокирован нашим антивирусом. На второй — число пользователей, машины которых заражены. Тем не менее, могу предположить, что время, в которое пользователь обычно посещает те или иные сайты, не зависит от того, какой антивирус установлен на его компьютере (и установлен ли вообще). Так что я счел возможным сравнить полученные данные.

Из этих графиков вырисовывается интересная картина — наибольшее количество обнаружений блокеров пришлось на начало недели, а обращений к сервису разблокировки — в конце. Что из этого следует?

Подведем итоги. Как это ни прискорбно, как правило, пользователи сами скачивают и запускают блокеры на своих компьютерах. Ни о каких супертехнологиях вирусописателей и хакеров в данном случае речь не идет. Чаще всего жертвами вымогателей становятся мужчины от 18 до 35 лет, в большинстве своем — любители пиратского ПО и порно. Максимальное число заражений компьютеров приходится на начало недели, а «лечат» пользователи свои заблокированные машины по выходным.